Home > 전체기사
SSL 인증 기관, 인증서 발급 중단...왜?
  |  입력 : 2011-11-07 14:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
네덜란드 인증기관 KPN, 서버에서 DDoS 툴 발견


[보안뉴스 호애진] 네덜란드의 SSL 인증 기관인 KPN이 자사 웹 인프라 내의 한 서버에서 해킹 공격 툴을 발견한 후 디지털 인증서 발급을 중단했다.


KPN은 현재까지 자사 CA 인프라가 해킹을 당했다는 증거는 없지만 예방차원에서 이러한 조치를 취했다고 밝혔다. 이는 디지노타에 이어 네덜란드 인증 기관에서 발생한 두 번째 인증서 발급 중단 사태다.


KPN은 보안 감사 중에 DDoS 툴이 있는 서버를 발견했고 이 툴은 4년 동안 계속 설치돼 있었던 것으로 보인다고 밝히는 한편 예방적 조치로서 인증서 발급을 중단했고 기 발급된 인증서는 유효하다는 전제에서 정상 운영 중이라고 덧붙였다.


KPN은 올해 7월 해킹 공격을 받아 결국 업계에서 퇴출된 디지노타에 비해 회사 규모가 훨씬 더 크다. 디지노타 사태 때에는 한 해커가 회사의 CA 인프라를 해킹해 구글, 야후, CIA 등의 유명 도메인을 대상으로 하는 허위 인증서를 대량 발급했다. 


이와 관련 KPN의 미흡한 보안 관리를 질타하는 여론이 높아지고 있다. DDoS 툴이 4년간 서버에 설치된 것을 몰랐다는 사실은 납득하기 힘들다는 것.


인증서는 웹 브라우저와 웹 서버 사이에 서로 신뢰성을 확인하는데 사용되는, 보안을 위한 장치인데 이러한 인증서를 발급하는 기관이 보안을 소홀히 했다는 데 문제의 심각성이 있다. 비난은 물론 신뢰도 하락을 피하기 어려울 것으로 보인다.


현재 KPN은 여러 브랜드 하에서 다수의 사업을 영위한다. 특히 PKI 사업은 계열사인 제트로닉스(Getronics)가 운영하고 있으며 이 회사는 지난 9월 디지노타 사태가 발생한 후 수많은 고객이 디지노타에서 자사로 이동했다고 밝혔다. 당시 이 회사의 대변인은 디지노타에서 유입된 신규 고객이 수백 곳에 이른다고 밝힌 바 있다.

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)